Edytuj

Sygnatura dostępu współdzielonego w architekturze platformy Azure

Azure Virtual Machines
Azure Virtual Network

To rozwiązanie uruchamia obciążenia analizy sygnatur dostępu współdzielonego na platformie Azure. Wskazówki obejmują różne scenariusze wdrażania. Na przykład dostępnych jest wiele wersji sygnatury dostępu współdzielonego. Oprogramowanie SAS można uruchamiać na maszynach wirtualnych zarządzanych samodzielnie. Wersje oparte na kontenerach można również wdrożyć przy użyciu usługi Azure Kubernetes Service (AKS).

Architektura

Architecture diagram showing how to deploy SAS products on Azure.

Pobierz plik programu Visio z tą architekturą.

Przepływ pracy

Wdrożenia sas platformy Azure zwykle zawierają trzy warstwy:

  • Warstwa interfejsu API lub wizualizacji. W tej warstwie:

    • Warstwa metadanych zapewnia aplikacjom klienckim dostęp do metadanych w źródłach danych, zasobach, serwerach i użytkownikach.
    • Aplikacje internetowe zapewniają dostęp do danych analizy w warstwie środkowej.

  • Platforma obliczeniowa, na której serwery SAS przetwarzają dane.

  • Warstwa magazynowania używana przez sygnaturę dostępu współdzielonego na potrzeby magazynu trwałego. Popularne opcje na platformie Azure to:

    • Lustre
    • IBM Spectrum Scale
    • Sieciowy system plików (NFS)

Usługa Azure Virtual Network izoluje system w chmurze. W tej sieci:

  • Grupa umieszczania w pobliżu zmniejsza opóźnienie między maszynami wirtualnymi.
  • Sieciowe grupy zabezpieczeń chronią zasoby sygnatury dostępu współdzielonego przed niechcianym ruchem.

Wymagania wstępne

Przed wdrożeniem obciążenia sygnatury dostępu współdzielonego upewnij się, że są spełnione następujące składniki:

  • Zalecenie dotyczące określania rozmiaru od zespołu określania rozmiaru sygnatury dostępu współdzielonego
  • Plik licencji sygnatury dostępu współdzielonego
  • Dostęp do grupy zasobów na potrzeby wdrażania zasobów
  • Limit przydziału subskrypcji wirtualnej centralnej jednostki przetwarzania (vCPU), która uwzględnia wybór dokumentu i maszyny wirtualnej
  • Dostęp do bezpiecznego serwera protokołu LDAP (Lightweight Directory Access Protocol)

Szczegóły scenariusza

Oprócz omawiania różnych implementacji ten przewodnik jest również zgodny z założeniami platformy Microsoft Azure Well-Architected Framework w celu osiągnięcia doskonałości w obszarach kosztów, DevOps, odporności, skalowalności i zabezpieczeń. Oprócz korzystania z tego przewodnika skontaktuj się z zespołem sygnatur dostępu współdzielonego, aby uzyskać dodatkową weryfikację konkretnego przypadku użycia.

Jako partnerzy firma Microsoft i sygnatura dostępu współdzielonego pracują nad opracowaniem planu dla organizacji, które wprowadzają innowacje w chmurze. Obie firmy zobowiązały się do zapewnienia wysokiej jakości wdrożeń produktów SAS i rozwiązań na platformie Azure.

Wprowadzenie do sygnatury dostępu współdzielonego

Oprogramowanie do analizy sygnatur dostępu współdzielonego udostępnia pakiet usług i narzędzi do rysowania szczegółowych informacji z danych i podejmowania inteligentnych decyzji. Platformy sas w pełni obsługują swoje rozwiązania dla obszarów, takich jak zarządzanie danymi, wykrywanie oszustw, analiza ryzyka i wizualizacja. Sygnatura dostępu współdzielonego oferuje następujące platformy podstawowe, które firma Microsoft zweryfikowała:

  • Siatka SAS 9.4
  • SAS Viya

Przetestowano następujące architektury:

  • Sas Grid 9.4 w systemie Linux
  • SAS 9 Foundation
  • Sas Viya 3.5 z symetrycznym przetwarzaniem wieloprocesorowym (SMP) i architekturami masowego przetwarzania równoległego (MPP) w systemie Linux
  • Sas Viya 2020 i nowszy z architekturą MPP w usłudze AKS

Ten przewodnik zawiera ogólne informacje dotyczące uruchamiania sygnatury dostępu współdzielonego na platformie Azure, a nie informacji specyficznych dla platformy. W tych wytycznych przyjęto założenie, że hostujesz własne rozwiązanie SAS na platformie Azure we własnej dzierżawie. Sygnatura dostępu współdzielonego nie hostuje rozwiązania dla Ciebie na platformie Azure. Aby uzyskać więcej informacji na temat usług hostingu i zarządzania platformy Azure, które udostępnia sygnatura dostępu współdzielonego, zobacz Usługi aplikacji zarządzanej sygnaturą dostępu współdzielonego.

Zalecenia

Podczas projektowania implementacji należy wziąć pod uwagę kwestie opisane w poniższych sekcjach.

Dokumentacja sygnatury dostępu współdzielonego zawiera wymagania na rdzeń, co oznacza, że na fizyczny rdzeń procesora CPU. Jednak platforma Azure udostępnia listy procesorów wirtualnych. Na maszynach wirtualnych, które zalecamy do użycia z sygnaturą dostępu współdzielonego, istnieją dwa procesory wirtualne dla każdego rdzenia fizycznego. W związku z tym, aby obliczyć wartość wymagania procesorów wirtualnych, użyj połowy podstawowej wartości wymagania. Na przykład fizyczne wymaganie rdzeni 150 MB/s przekłada się na 75 MB/s na procesor wirtualny. Aby uzyskać więcej informacji na temat wydajności obliczeń na platformie Azure, zobacz Azure Compute Unit (ACU).

Uwaga

Jeśli skalowanie w górę i utrwalanie danych we wdrożeniu sygnatury dostępu współdzielonego z jednym węzłem (a nie do zewnętrznego systemu plików), dokumentacja sygnatury dostępu współdzielonego zaleca przepustowość co najmniej 150 MB/s. Aby osiągnąć tę przepustowość, należy rozmieścić wiele dysków P30 Premium (lub większych).

Systemy operacyjne

System Linux działa najlepiej w przypadku uruchamiania obciążeń SAS. Sygnatura dostępu współdzielonego obsługuje 64-bitowe wersje następujących systemów operacyjnych:

  • Red Hat 7 lub nowszy
  • SUSE Linux Enterprise Server (SLES) 12.2
  • Oracle Linux 6 lub nowszy

Aby uzyskać więcej informacji na temat określonych wydań sygnatury dostępu współdzielonego, zobacz macierz obsługi systemu operacyjnego SAS. W środowiskach korzystających z wielu maszyn najlepiej uruchomić tę samą wersję systemu Linux na wszystkich maszynach. Platforma Azure nie obsługuje wdrożeń 32-bitowych systemu Linux.

Aby zoptymalizować zgodność i integrację z platformą Azure, zacznij od obrazu systemu operacyjnego z witryny Azure Marketplace. Jeśli używasz obrazu niestandardowego bez dodatkowych konfiguracji, może to obniżyć wydajność sygnatury dostępu współdzielonego.

Problemy z jądrem

Podczas wybierania systemu operacyjnego należy pamiętać o problemie z miękkim blokowaniem, który ma wpływ na całą serię Red Hat 7.x. Występuje w tych jądrach:

  • Jądra systemu Linux 3.x
  • Wersje starsze niż 4.4

Problem z pamięcią i zarządzaniem we/wy systemu Linux i funkcji Hyper-V powoduje problem. Gdy się pojawi, dzienniki systemowe zawierają wpisy takie jak ten, które wspominają niemaskowalne przerwanie (NMI):

Message from syslogd@ronieuwe-sas-e48-2 at Sep 13 08:26:08
kernel:NMI watchdog: BUG: soft lockup - CPU#12 stuck for 22s! [swapper/12:0]

Inny problem dotyczy starszych wersji oprogramowania Red Hat. W szczególności może się to zdarzyć w wersjach spełniających następujące warunki:

  • Mają jądra systemu Linux, które poprzedzają 3.10.0-957.27.2
  • Używanie nietrwałych dysków express pamięci (NVMe)

Gdy system ma wysokie wykorzystanie pamięci, ogólny sterownik NVMe systemu Linux może nie przydzielić wystarczającej ilości pamięci dla operacji zapisu. W rezultacie system zgłasza miękką blokadę, która wynika z rzeczywistego zakleszczenia.

Uaktualnij jądro, aby uniknąć obu problemów. Alternatywnie wypróbuj to możliwe obejście:

  • Ustaw /sys/block/nvme0n1/queue/max_sectors_kb wartość na zamiast używać 128 wartości domyślnej . 512
  • Zmień to ustawienie na każdym urządzeniu NVMe na maszynie wirtualnej i na każdym rozruchu maszyny wirtualnej.

Uruchom następujące polecenia, aby dostosować to ustawienie:

# cat /sys/block/nvme0n1/queue/max_sectors_kb
512
# echo 128 >/sys/block/nvme0n1/queue/max_sectors_kb
# cat /sys/block/nvme0n1/queue/max_sectors_kb
128

Zalecenia dotyczące określania rozmiaru maszyny wirtualnej

Wdrożenia sygnatur dostępu współdzielonego często używają następujących jednostek SKU maszyny wirtualnej:

Seria Edsv5

Maszyny wirtualne z serii Edsv5 to domyślne maszyny sas dla platform Viya i Grid. Oferują one następujące funkcje:

  • Ograniczone rdzenie. W przypadku wielu maszyn z tej serii można ograniczyć liczbę procesorów wirtualnych maszyn wirtualnych.
  • Dobry stosunek procesora CPU do pamięci.
  • Dysk dołączony lokalnie o wysokiej przepływności. Szybkość operacji we/wy jest ważna w przypadku folderów, takich jak SASWORK i pamięć podręczna usług Cloud Analytics Services (CAS), CAS_CACHEktóra jest używana przez sygnaturę dostępu współdzielonego dla plików tymczasowych.

Jeśli maszyny wirtualne serii Edsv5 są niedostępne, zaleca się użycie poprzedniej generacji. Maszyny wirtualne serii Edsv4 zostały przetestowane i działają dobrze na obciążeniach SAS.

Seria Ebsv5

W niektórych przypadkach lokalnie dołączony dysk nie ma wystarczającej ilości miejsca do magazynowania ani SASWORKCAS_CACHE. Aby uzyskać większy katalog roboczy, użyj serii Ebsv5 maszyn wirtualnych z dołączonymi dyskami w warstwie Premium. Te maszyny wirtualne oferują następujące funkcje:

  • Te same specyfikacje co maszyny wirtualne Edsv5 i Esv5
  • Wysoka przepływność w stosunku do dysku dołączonego zdalnego, do 4 GB/s, zapewniając tak duże SASWORK lub CAS_CACHE , jak to konieczne, w razie potrzeby we/wy sygnatury dostępu współdzielonego.

Jeśli maszyny wirtualne z serii Edsv5 oferują wystarczającą ilość miejsca do magazynowania, lepiej jest ich używać, ponieważ są bardziej ekonomiczne.

Seria M

Wiele obciążeń używa maszyn wirtualnych serii M, w tym:

  • Implementacje środowiska uruchomieniowego programowania SAS (SPRE, SAS Programming Runtime Environment), które używają podejścia Viya do architektury oprogramowania.
  • Niektóre obciążenia usługi SAS Grid.

Maszyny wirtualne serii M oferują następujące funkcje:

  • Ograniczone rdzenie
  • Do 3,8 TiB pamięci, odpowiednie dla obciążeń korzystających z dużej ilości pamięci
  • Wysoka przepływność do dysków zdalnych, która dobrze sprawdza się w SASWORK przypadku folderu, gdy lokalnie dostępny dysk jest niewystarczający

Seria Ls

Niektóre środowiska ciężkie we/wy powinny używać maszyn wirtualnych serii Lsv2 lub Lsv3 . W szczególności implementacje wymagające szybkiego, małego opóźnienia operacji we/wy i dużej ilości pamięci korzystają z tego typu maszyny. Przykłady obejmują systemy, które intensywnie korzystają z SASWORK folderu lub CAS_CACHE.

Uwaga

Sygnatura dostępu współdzielonego optymalizuje swoje usługi do użycia z biblioteką Intel Math Kernel Library (MKL).

  • W przypadku obciążeń z dużym obciążeniem matematycznym unikaj maszyn wirtualnych, które nie korzystają z procesorów Intel: Lsv2 i Lasv3.
  • Podczas wybierania procesora AMD zweryfikuj sposób działania biblioteki MKL.

Ostrzeżenie

Jeśli to możliwe, unikaj używania maszyn wirtualnych Lsv2. Zamiast tego należy używać maszyn wirtualnych Lsv3 z mikroukładami Intel.

Za pomocą platformy Azure można skalować systemy SAS Viya na żądanie, aby spełnić terminy:

  • Zwiększając pojemność obliczeniową puli węzłów.
  • Używając narzędzia do automatycznego skalowania klastra usługi AKS w celu dodawania węzłów i skalowania w poziomie.
  • Dzięki tymczasowemu skalowaniu infrastruktury w górę w celu przyspieszenia obciążenia sygnatury dostępu współdzielonego.

Uwaga

Podczas skalowania składników obliczeniowych rozważ również skalowanie w górę magazynu, aby uniknąć wąskich gardeł we/wy magazynu.

W przypadku obciążeń Viya 3.5 i Grid platforma Azure nie obsługuje obecnie skalowania w poziomie ani w pionie. Program Viya 2022 obsługuje skalowanie w poziomie.

Zagadnienia dotyczące umieszczania sieci i maszyn wirtualnych

Obciążenia sygnatury dostępu współdzielonego są często czatty. W związku z tym mogą przesyłać znaczną ilość danych. W przypadku wszystkich platform SAS postępuj zgodnie z tymi zaleceniami, aby zmniejszyć skutki rozmów:

  • Wdróż sygnaturę dostępu współdzielonego i platformy magazynu w tej samej sieci wirtualnej. Takie podejście pozwala również uniknąć ponoszenia kosztów komunikacji równorzędnej.
  • Umieść maszyny SAS w grupie umieszczania w pobliżu, aby zmniejszyć opóźnienie między węzłami.
  • Jeśli to możliwe, wdróż maszyny sas i platformy magazynu danych oparte na maszynach wirtualnych w tej samej grupie umieszczania w pobliżu.
  • Wdróż sygnatury dostępu współdzielonego i urządzenia magazynu w tej samej strefie dostępności, aby uniknąć opóźnienia między strefami. Jeśli nie możesz potwierdzić, że składniki rozwiązania są wdrażane w tej samej strefie, skontaktuj się z pomoc techniczna platformy Azure.

Sygnatura dostępu współdzielonego ma określone wymagania dotyczące w pełni kwalifikowanej nazwy domeny (FQDN) dla maszyn wirtualnych. Ustaw poprawnie nazwy FQDN maszyny i upewnij się, że usługi systemu nazw domen (DNS) działają. Nazwy można ustawić za pomocą usługi Azure DNS. Plik można również edytować hosts w folderze etc konfiguracji.

Uwaga

Włącz przyspieszoną sieć we wszystkich węzłach we wdrożeniu sygnatury dostępu współdzielonego. Po wyłączeniu tej funkcji wydajność znacznie się pogorszy.

Aby włączyć przyspieszoną sieć na maszynie wirtualnej, wykonaj następujące kroki:

  1. Uruchom to polecenie w interfejsie wiersza polecenia platformy Azure, aby cofnąć przydział maszyny wirtualnej:

    az vm deallocate --resource-group <resource_group_name> --name <VM_name>

  2. Wyłącz maszynę wirtualną.

  3. Uruchom to polecenie w interfejsie wiersza polecenia:

    az network nic update -n <network_interface_name> -g <resource_group_name> --accelerated-networking true

Podczas migracji danych lub interakcji z sygnaturą dostępu współdzielonego na platformie Azure zalecamy użycie jednego z tych rozwiązań do łączenia zasobów lokalnych z platformą Azure:

W przypadku obciążeń sygnatur dostępu współdzielonego w środowisku produkcyjnym na platformie Azure usługa ExpressRoute zapewnia prywatne, dedykowane i niezawodne połączenie, które oferuje te korzyści w przypadku sieci VPN typu lokacja-lokacja:

  • Większa szybkość
  • Mniejsze opóźnienia
  • Ściślejsze zabezpieczenia

Należy pamiętać o interfejsach wrażliwych na opóźnienia między aplikacjami SAS i bez sygnatur dostępu współdzielonego. Rozważ przeniesienie źródeł danych i ujść w pobliżu sygnatury dostępu współdzielonego.

Zarządzanie tożsamościami

Platformy sas mogą używać kont użytkowników lokalnych. Mogą również używać bezpiecznego serwera LDAP do weryfikowania użytkowników. Zalecamy uruchomienie kontrolera domeny na platformie Azure. Następnie użyj funkcji przyłączania do domeny, aby prawidłowo zarządzać dostępem do zabezpieczeń. Jeśli kontrolery domeny nie zostały skonfigurowane, rozważ wdrożenie usług Microsoft Entra Domain Services (Microsoft Entra Domain Services). Jeśli używasz funkcji przyłączania do domeny, upewnij się, że nazwy maszyn nie przekraczają limitu 15 znaków.

Uwaga

W niektórych środowiskach istnieje wymaganie dotyczące łączności lokalnej lub udostępnionych zestawów danych między środowiskami lokalnymi i hostowanymi na platformie Azure sas. W takich sytuacjach zdecydowanie zalecamy wdrożenie kontrolera domeny na platformie Azure.

Las Microsoft Entra Domain Services tworzy użytkowników, którzy mogą uwierzytelniać się na urządzeniach firmy Microsoft Entra, ale nie w zasobach lokalnych i odwrotnie.

Źródła danych

Rozwiązania SAS często uzyskują dostęp do danych z wielu systemów. Te źródła danych należą do dwóch kategorii:

  • Zestawy danych sygnatury dostępu współdzielonego przechowywane w folderze SASDATA
  • Bazy danych, które sygnatury dostępu współdzielonego często obciążają duże obciążenie

Aby uzyskać najlepszą wydajność:

  • Umieszczanie źródeł danych w możliwie bliskim miejscu dla infrastruktury sygnatur dostępu współdzielonego.
  • Ogranicz liczbę przeskoków sieciowych i urządzeń między źródłami danych a infrastrukturą sygnatur dostępu współdzielonego.

Uwaga

Jeśli nie możesz przenieść źródeł danych w pobliżu infrastruktury sygnatur dostępu współdzielonego, unikaj uruchamiania na nich analiz. Zamiast tego uruchom najpierw procesy wyodrębniania, przekształcania, ładowania (ETL) i analizy później. Weź to samo podejście w przypadku źródeł danych, które są obciążone.

Trwały magazyn zdalny dla danych SYGNATURY dostępu współdzielonego

Sygnatury dostępu współdzielonego i firma Microsoft przetestowały serię platform danych, których można użyć do hostowania zestawów danych SAS. Blogi dotyczące sygnatur dostępu współdzielonego zawierają szczegółowe informacje o wynikach, w tym charakterystykę wydajności. Testy obejmują następujące platformy:

Sygnatura dostępu współdzielonego oferuje skrypty testowania wydajności dla architektur Viya i Grid. Fora sygnatur dostępu współdzielonego zawierają dokumentację dotyczącą testów ze skryptami na tych platformach.

Magazyn Sycomp napędzany przez IBM Spectrum Scale (GPFS)

Aby uzyskać informacje o tym, jak Sycomp Storage Fueled by IBM Spectrum Scale spełnia oczekiwania dotyczące wydajności, zobacz Przegląd sygnatury dostępu współdzielonego Sycomp dla usługi SAS Grid.

W przypadku określania rozmiaru usługa Sycomp udostępnia następujące zalecenia:

  • Podaj jeden węzeł skalowania GPFS na osiem rdzeni z konfiguracją 150 MB/s na rdzeń.
  • Użyj co najmniej pięciu dysków P30 na wystąpienie.
DDN EXAScaler Cloud (Lustre)

Nazwa DDN, która nabyła firmę Intel Lustre, zapewnia usługę EXAScaler Cloud, która jest oparta na równoległym systemie plików Lustre. Rozwiązanie jest dostępne w witrynie Azure Marketplace w ramach parasola usługi DDN EXAScaler Cloud. Zaprojektowana pod kątem wdrożenia intensywnie korzystającego z danych zapewnia wysoką przepływność przy niskich kosztach.

Testy pokazują, że narzędzie DDN EXAScaler może uruchamiać obciążenia SAS w sposób równoległy. Nazwa DDN zaleca uruchomienie tego polecenia we wszystkich węzłach klienta podczas wdrażania narzędzia EXAScaler lub Lustre:

lctl set_param mdc.*.max_rpcs_in_flight=128 osc.*.max_pages_per_rpc=16M osc.*.max_rpcs_in_flight=16 osc.*.max_dirty_mb=1024 llite.*.max_read_ahead_mb=2048 osc.*.checksums=0  llite.*.max_read_ahead_per_file_mb=256
Azure NetApp Files (NFS)

Testy sygnatur dostępu współdzielonego zweryfikowały wydajność usługi NetApp dla usługi SAS Grid. W szczególności testowanie pokazuje, że usługa Azure NetApp Files jest realną opcją magazynu podstawowego dla klastrów usługi SAS Grid z maksymalnie 32 rdzeniami fizycznymi na wielu maszynach. Gdy są używane optymalizacje usługi NetApp i funkcje systemu Linux, usługa Azure NetApp Files może być główną opcją dla klastrów do 48 rdzeni fizycznych na wielu maszynach.

Podczas korzystania z tej usługi należy wziąć pod uwagę następujące kwestie:

  • Usługa Azure NetApp Files dobrze współpracuje z wdrożeniami Viya. Nie używaj usługi Azure NetApp Files dla pamięci podręcznej CAS w usłudze Viya, ponieważ przepływność zapisu jest niewystarczająca. Jeśli to możliwe, użyj lokalnego dysku efemerycznego maszyny wirtualnej.
  • Na platformie SAS 9 Foundation z usługą Grid 9.4 wydajność usługi Azure NetApp Files z sygnaturą dostępu współdzielonego dla SASDATA plików jest dobra dla klastrów do 32 rdzeni fizycznych. Jest to do 48 rdzeni po zastosowaniu dostrajania .
  • Aby zapewnić dobrą wydajność, wybierz co najmniej poziom usługi w warstwie Premium lub Ultra podczas wdrażania usługi Azure NetApp Files. Możesz wybrać poziom usługi w warstwie Standardowa dla bardzo dużych woluminów. Rozważ rozpoczęcie od poziomu Premium i przejście do warstwy Ultra lub Standard później. Zmiany poziomu usług można wprowadzić w trybie online bez zakłóceń ani migracji danych.
  • Wydajność odczytu i zapisu różni się w przypadku usługi Azure NetApp Files. Przepływność zapisu dla sygnatury dostępu współdzielonego osiąga limity około 1600MiB/s, podczas gdy przepływność odczytu przekracza to do około 4500MiB/s. Jeśli potrzebujesz ciągłej wysokiej przepływności zapisu, usługa Azure NetApp Files może nie być dobrym rozwiązaniem.

Inne źródła danych

Platformy sas obsługują różne źródła danych:

Kwestie wymagające rozważenia

Te zagadnienia implementują filary struktury Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nadużyciami cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Omówienie filaru zabezpieczeń.

Dane wyjściowe obciążeń SAS mogą być jednym z krytycznych zasobów organizacji. Dane wyjściowe sygnatury dostępu współdzielonego zapewniają wgląd w wydajność wewnętrzną i mogą odgrywać kluczową rolę w strategii raportowania. Ważne jest, aby zabezpieczyć dostęp do architektury sygnatury dostępu współdzielonego. Aby osiągnąć ten cel, należy użyć bezpiecznych luk w zabezpieczeniach sieci i uwierzytelniania adresów. Użyj szyfrowania, aby chronić wszystkie dane przenoszone do i z architektury.

Platforma Azure dostarcza sygnaturę dostępu współdzielonego przy użyciu modelu chmury typu infrastruktura jako usługa (IaaS). Firma Microsoft tworzy zabezpieczenia w usłudze na następujących poziomach:

  • Fizyczne centrum danych
  • Sieć fizyczna
  • Host fizyczny
  • Funkcja hypervisor

Dokładnie oceń usługi i technologie wybrane dla obszarów powyżej funkcji hypervisor, takich jak system operacyjny gościa dla sygnatury dostępu współdzielonego. Upewnij się, że zapewniasz odpowiednie mechanizmy kontroli zabezpieczeń dla architektury.

Sygnatura dostępu współdzielonego obecnie nie obsługuje w pełni identyfikatora Entra firmy Microsoft. Aby uwierzytelnić się w warstwie wizualizacji dla sygnatury dostępu współdzielonego, możesz użyć identyfikatora Entra firmy Microsoft. Jednak w przypadku autoryzacji zaplecza należy użyć strategii podobnej do uwierzytelniania lokalnego. Podczas zarządzania zasobami IaaS możesz użyć identyfikatora Entra firmy Microsoft do uwierzytelniania i autoryzacji w witrynie Azure Portal. W przypadku korzystania z usług Microsoft Entra Domain Services nie można uwierzytelnić kont gości. Próba zalogowania gościa zakończy się niepowodzeniem.

Użyj sieciowych grup zabezpieczeń, aby filtrować ruch sieciowy do i z zasobów w sieci wirtualnej. Za pomocą tych grup można zdefiniować reguły, które udzielają lub odmawiają dostępu do usług SAS. Oto kilka przykładów:

  • Udzielanie dostępu do portów procesu roboczego CAS z lokalnych zakresów adresów IP.
  • Blokowanie dostępu do usług SAS z Internetu.

Do szyfrowania w systemie operacyjnym można użyć usługi Azure Disk Encryption . To rozwiązanie korzysta z funkcji DM-Crypt systemu Linux. Obecnie nie zalecamy jednak używania usługi Azure Disk Encryption. Może to poważnie obniżyć wydajność, szczególnie w przypadku lokalnego używania SASWORK plików.

Szyfrowanie po stronie serwera (SSE) usługi Azure Disk Storage chroni dane. Pomaga również spełnić wymagania organizacji dotyczące zabezpieczeń i zgodności. W przypadku dysków zarządzanych platformy Azure usługa SSE szyfruje dane magazynowane podczas utrwalania ich w chmurze. To zachowanie ma zastosowanie domyślnie zarówno do dysków systemu operacyjnego, jak i danych. Do szyfrowania dysku zarządzanego można użyć kluczy zarządzanych przez platformę lub własnych kluczy.

Ochrona infrastruktury

Kontroluj dostęp do wdrażanych zasobów platformy Azure. Każda subskrypcja platformy Azure ma relację zaufania z dzierżawą firmy Microsoft Entra. Stosując kontrolę dostępu opartą na rolach na platformie Azure, przyznaj użytkownikom w organizacji odpowiednie uprawnienia do zasobów platformy Azure. Aby udzielić dostępu, przypisz role platformy Azure użytkownikom lub grupom w określonym zakresie. Zakres może być subskrypcją, grupą zasobów lub pojedynczym zasobem. Pamiętaj, aby przeprowadzić inspekcję wszystkich zmian w infrastrukturze.

Zarządzanie dostępem zdalnym do maszyn wirtualnych za pośrednictwem usługi Azure Bastion. Nie uwidaczniaj żadnego z tych składników w Internecie:

  • Maszyny wirtualne
  • Porty protokołu SSH (Secure Shell Protocol)
  • Porty protokołu RDP (Remote Desktop Protocol)

Wdrażanie tego scenariusza

Najlepiej wdrażać obciążenia przy użyciu procesu infrastruktury jako kodu (IaC). Obciążenia sygnatury dostępu współdzielonego mogą być wrażliwe na błędy konfiguracji, które często występują we wdrożeniach ręcznych i zmniejszają produktywność.

Podczas kompilowania środowiska zobacz materiały referencyjne z przewodnika Szybki start na platformie Azure CoreCompete SAS 9 lub Viya.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Autorzy zabezpieczeń:

Inny współautor:

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki

Aby uzyskać pomoc dotyczącą rozpoczynania pracy, zobacz następujące zasoby:

Aby uzyskać pomoc dotyczącą procesu automatyzacji, zobacz następujące szablony udostępniane przez sygnaturę dostępu współdzielonego: